Contar com um encarregado de dados pessoais – conhecido como Data Protection Officer (DPO) – é sempre uma boa prática, mas nem todas as empresas são obrigadas a ter esse tipo de profissional. De acordo com o § 3º do artigo 41 da Lei Geral de Proteção de Dados Pessoais – LGPD, a Autoridade Nacional de Proteção de Dados (ANPD) poderá dispensar a indicação de um encarregado pelo tratamento de dados pessoais, dependendo da natureza e do porte da entidade ou do volume de operações de tratamento.

Essa hipótese foi tratada no artigo 11 da Resolução CD/ANPD 2/22, o qual estabelece que “os agentes de tratamento de pequeno porte[1] não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no artigo 41 da LGPD”. Nesse caso, porém, será preciso fornecer um canal de comunicação para aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.

Segundo o artigo 3 da mesma resolução, os agentes de pequeno porte que executem processamentos de alto risco para os titulares não poderão se beneficiar do tratamento jurídico diferenciado – o que inclui a dispensa de nomeação de DPO.

Ressalva-se, porém, a hipótese prevista no artigo 8. O dispositivo prevê que agentes de tratamento de pequeno porte podem se organizar por meio de entidades de representação da atividade empresarial por pessoas jurídicas ou por pessoas naturais para fins de negociação, mediação e conciliação de reclamações apresentadas por titulares de dados.

Pela regulação, será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico.

Os critérios gerais abrangem o tratamento de dados pessoais em larga escala ou que possa afetar significativamente interesses e direitos fundamentais dos titulares.

Entre os critérios específicos, são considerados:

  • o uso de tecnologias emergentes ou inovadoras;
  • a vigilância ou controle de zonas acessíveis ao público;
  • as decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
  • a utilização de dados pessoais sensíveis ou de dados pessoais de crianças, adolescentes e idosos.

O tratamento de dados pessoais em larga escala será caracterizado quando abranger grande número de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.

Já o tratamento de dados pessoais que pode afetar significativamente interesses e direitos fundamentais se refere, entre outras situações, à atividade de tratamento que possa impedir o exercício de direitos ou a utilização de um serviço. Também ocorre quando gera danos materiais ou morais aos titulares – como discriminação, violação à integridade física, ao direito à imagem e à reputação –, fraudes financeiras ou roubo de identidade.

A dispensa de nomeação de encarregado não se aplica no caso de agentes de tratamento de pequeno porte que obtenham:

  • receita bruta superior, em cada ano-calendário, a R$ 360 mil e igual ou inferior a R$ 3,6 milhões; ou
  • no caso de startups, receita bruta de até R$ 16 milhões no ano-calendário anterior ou de R$ 1.333.334 multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 meses, independentemente da forma societária adotada.

O agente de pequeno porte não pode se eximir do dever de nomear um encarregado de dados, quando pertencer a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites mencionados no parágrafo anterior.

Ainda de acordo com Resolução CD/ANPD 2/22, em seu artigo 16, ela estabelece que a ANPD poderá também determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas pela norma, considerando determinadas circunstâncias, como a natureza ou o volume das operações, assim como os riscos para os titulares.

 


[1] De acordo com os incisos do artigo 2 da Resolução CD/ANPD 2/22, agentes de tratamento de pequeno porte abrangem as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador. Já microempresas e empresas de pequeno porte abrangem a sociedade empresária, a sociedade simples, a sociedade limitada unipessoal, o empresário que exerce profissionalmente atividade econômica organizada para a produção ou a circulação de bens ou de serviços, incluído o microempreendedor individual, devidamente registrados no Registro de Empresas Mercantis ou no Registro Civil de Pessoas Jurídicas. Startups são as organizações empresariais ou societárias, nascentes ou em operação recente, cuja atuação se caracteriza pela inovação aplicada a modelo de negócios ou a produtos ou serviços ofertados, que atendam aos critérios previstos na Lei Complementar 182/21.